https://twcert2024.informationsecurity.com.tw/
https://www.informationsecurity.com.tw/seminar/2024_HighTech/

觀點

從預防、偵測、應變角度看物聯網時代的資安防禦(上篇)

2015 / 04 / 14
fb.com/iotrends
從預防、偵測、應變角度看物聯網時代的資安防禦(上篇)

    隨著物聯網的各種應用陸續被發表,各家物聯網開發平台積極爭取開發者的青睞,然而近年來針對物聯網的攻擊與威脅也從來沒停過。本文搜集物聯網攻擊新聞事件,並整理物聯網資安防禦與偵測之道,對準備採用或物聯網製造商提出建議。
   
    從2013年開始,賽門鐵克發現一隻名為Linux.Darlloz的蠕蟲,它利用PHP的弱點(CVE 2012-1823)來感染Intel X86的Linux裝置,如家用路由器或其他連網裝置,一旦被發現還未更新修補程式的裝置,就會被植入這隻蠕蟲,並擴大感染其他連網設備。而後還出現惡意程式變種,也可在ARM或MIPS晶片上執行。到了2014年初,Proofpoint發現一波針對企業及使用者的垃圾郵件攻擊,一天發送3次,總計約75萬封,其中約25%的流量從10萬台家用路由器、多媒體中心、智慧電視或冰箱傳送出來。

    隨後Akamai的Prolexic安全團隊更發現一個可用來發動DDoS(分散式阻斷服務攻擊)的攻擊程式,名為Spike。它可感染電腦以及物聯網裝置,將之形成殭屍物聯網(Thingbot),這群Spike殭屍物聯網是由家用路由器、智慧恆溫器、智慧吹風機等設備所組成,約在1.2萬台~1.5萬台之間。為了擴大感染物聯網設備,惡意程式作者還針對採用ARM架構的物聯網裝置客製化惡意程式。Akamai指出,雖然從物聯網這類低功耗設備所發動的DDoS攻擊流量不算大,如某次尖峰為215 Gbps以及150 Mpps,然而這卻表示物聯網裝置已淪為攻擊者手上的武器。例如先前攻擊Sony PSN與XBox Live平台的駭客組織Lizard Squad就推出DDoS攻擊服務,據稱他們的攻擊武器包含了數千台的家用路由器。

    此外資安專家近期也指出,一個名為Bash Bug (CVE-2014-6271)的漏洞將影響數十億台Linux/Unix架構的裝置,包括物聯網設備。攻擊者可能已經對未更新修補程式的裝置展開攻擊。

(一)物聯網的資安威脅
    DevCore執行長翁浩正指出,資安的威脅並不只有在傳統的伺服器、桌上型電腦,更是在一般的連網設備。像是之前NAS廠商設備漏洞遭到利用,將整個磁碟加密後勒索用戶。甚至最近研究發現,多數的攻擊發動是來自網路設備、網路攝影機等設備,因此資安的威脅早就從一般的伺服器延伸到IoT設備上。

如前述新聞事件所言,物聯網的盛行對所有企業資安都帶來新的風險。而對採用物聯網技術的企業來說,更需要注意物聯網帶來的挑戰。在思科委託調研機構ESG所做的一份「物聯網:資安長與網路安全觀點」的白皮書中即提到以下因物聯網而對企業現有安全帶來的挑戰:

  1. 感測器、連網設備經常位在企業網路之外,未能受到企業防火牆保護。且不肖份子若實際接觸到這些設備,就能進行實體破壞,甚至動手更換機器的軟硬體。

  2. 用來開發嵌入式設備的作業系統許多沒有提供自動安全更新的能力,設備本身沒有IO或安裝更新所需要的儲存空間不足。上述新聞事件許多與沒有更新有關。

  3. 物聯網造成資料外洩機率增加。因為物聯網設備將產生大量的營運作業資料,企業原有的資料安全控制機制必須能隨之擴大;此外,有些物聯網應用程式將從企業外部網路連回要求資料,這也可能增加新的攻擊風險;面對各式各樣的連網設備、位在不同位置、有著不同安全等級,企業需要能依據設備的可信賴度以及IoT資料的完整性來執行動態的管理政策。

  4. 對企業內部而言,由於物聯網存在各式各樣的通訊協定以及各種裝置,也許不是企業資安人員熟悉的技術,資安人員需要具備新的能力或工具來識別物聯網裝置並保護連網設備的流量與資料,並能識別哪些是正常哪些是可疑、異常的流量。

(二)目前企業對物聯網安全認知仍不足
    儘管目前針對連網設備的各種實際攻擊已陸續傳出,且資安研究人員對物聯網的攻擊展示從為曾停止過,但企業對於物聯網安全的重視仍然不足。Gartner指出目前晶片商已經重視安全議題,但設備製造商仍未有足夠意識。在幾年前Intel就開始收購McAfee、Windriver等廠商以強化其產品線的安全,而ARM也在近期買下Offspark,將TLS加密直接內建在其mbed作業系統中,Gartner表示更多的類似收購今年仍會進行。然而多數設備製造商卻只重視使用者介面、在乎上市時間,而未詳加考慮安全。

    不只設備製造商,採用物聯網技術的企業本身對安全也不夠重視。根據資安廠商Tripwire所做的調查,零售業高層只有25%預期能得到更多的預算來保護物聯網裝置,零售業資安人員只有18%擔心POS設備會遭受到攻擊。而金融業與能源產業的高層分別有59%與52%表示預期可得到更多預算。Gartner的調查也指出,到了2017年底,約有20%的企業將 "大量投資" 在物聯網安全,因為已採用物聯網技術的企業,他們在產業中的角色使得他們必須去做好防護,同時資安長也需重新定義他們的工作角色與範疇。然而要保護物聯網並不容易,資安長必須從行動與雲端架構中採行融合策略,並結合工業控制、自動化與實體安全。 

閱讀 [下篇:從預防、偵測、應變角度看物聯網時代的資安防禦]